Cara menyebarkan F5 di dua instans Azure Stack Hub

Artikel
12/01/2023

Artikel ini memandu Anda dalam menyiapkan load balancer eksternal di dua lingkungan Azure Stack Hub. Anda dapat menggunakan konfigurasi ini untuk mengelola beban kerja yang berbeda. Dalam artikel ini, Anda akan menyebarkan F5 sebagai solusi penyeimbangan beban global di dua instans Azure Stack Hub independen. Anda juga akan menyebarkan aplikasi web dengan beban seimbang yang berjalan di server NGINX di dua instans Anda. F5 dan aplikasi web tersebut akan berjalan di belakang pasangan peralatan virtual F5 dengan ketersediaan tinggi dan failover.

Anda dapat menemukan templat Azure Resource Manager di repositori GitHub f5-azurestack-gslb.

Ringkasan penyeimbangan beban dengan F5

Perangkat keras F5, load balancer, mungkin berada di luar Azure Stack Hub dan di dalam pusat data yang menghosting Azure Stack Hub. Azure Stack Hub tidak memiliki kemampuan asli untuk memuat keseimbangan beban kerja di dua penyebaran Azure Stack Hub yang terpisah. Edisi virtual BIG-IP (VE) F5 berjalan di kedua platform. Penyiapan ini mendukung paritas antara arsitektur Azure dan Azure Stack Hub melalui replikasi layanan aplikasi pendukung. Anda dapat mengembangkan aplikasi di satu lingkungan dan memindahkannya ke lingkungan lain. Anda juga dapat mencerminkan seluruh Azure Stack Hub yang siap produksi, termasuk konfigurasi BIG-IP, kebijakan, dan layanan aplikasi yang sama. Pendekatan ini menghilangkan kebutuhan berjam-jam pemfaktoran ulang dan pengujian aplikasi, dan memungkinkan Anda untuk melanjutkan menulis kode.

Mengamankan aplikasi dan datanya sering menjadi masalah bagi pengembang yang memindahkan aplikasi ke cloud publik. Ini tidak perlu terjadi. Anda dapat membuat aplikasi di lingkungan Azure Stack Hub, sementara arsitek keamanan mengonfigurasi pengaturan yang diperlukan pada firewall aplikasi web (WAF) F5. Seluruh tumpukan dapat direplikasi di Azure Stack Hub dengan pengetahuan bahwa aplikasi akan dilindungi oleh WAF industri terkemuka yang sama. Dengan kebijakan dan aturan yang identik, tidak akan ada celah keamanan atau kerentanan yang mungkin dihasilkan dengan menggunakan WAF yang berbeda.

Azure Stack Hub memiliki marketplace terpisah dari Azure. Hanya item tertentu yang ditambahkan. Dalam hal ini, jika Anda ingin membuat grup sumber daya baru di setiap Azure Stack Hubs dan menyebarkan alat virtual F5 yang sudah tersedia. Dari sana, Anda akan melihat bahwa alamat IP Publik akan diperlukan untuk memungkinkan konektivitas jaringan antara kedua instans Azure Stack Hub. Pada dasarnya, keduanya adalah pulau dan IP Publik akan memungkinkannya untuk berbicara di kedua lokasi.

Prasyarat untuk BIG-IP VE

Unduh F5 BIG-IP VE - ALL (BYOL, 2 Lokasi Boot) ke setiap Azure Stack Hub Marketplace. Jika Anda tidak memilikinya di portal Anda, hubungi operator cloud Anda.
Anda dapat menemukan templat Azure Resource Manager di repositori GitHub berikut: https://github.com/Mikej81/f5-azurestack-gslb.

Menyebarkan F5 BIG-IP VE pada setiap instans

Sebarkan ke instans Azure Stack Hub A dan instans B.

Masuk ke portal pengguna Azure Stack Hub.
Pilih + Buat Sumber Daya.
Cari marketplace dengan mengetik F5.
Pilih F5 BIG-IP VE – ALL (BYOL, 2 Lokasi Boot).
Di bagian bawah halaman berikutnya, pilih Buat.
Buat Grup Sumber Daya Baru bernama F5-GSLB.
Gunakan nilai berikut sebagai contoh untuk menyelesaikan penyebaran:
Validasi bahwa penyebaran Anda berhasil diselesaikan.

Catatan

Setiap Penyebaran BIG-IP akan memakan waktu sekitar 20 menit.

Mengonfigurasi appliance BIG-IP

Ikuti langkah-langkah berikut untuk kebutuhan Azure Stack Hub A dan B.

Masuk ke portal pengguna Azure Stack Hub di instans Azure Stack Hub A untuk meninjau sumber daya yang dibuat dari penyebaran templat BIG-IP.
Ikuti petunjuk di F5 untuk item Konfigurasi BIG-IP.
Konfigurasikan BIG-IP Wide IP List untuk mendengarkan di kedua appliance yang disebarkan ke instans Azure Stack Hub A dan B. Untuk petunjuknya, lihat Konfigurasi GTM BIG-IP.
Validasi Failover BIG-IP Appliance. Pada sistem pengujian, konfigurasikan server DNS Anda untuk menggunakan yang berikut ini:
- Instans Azure Stack Hub A = Alamat IP publik f5stack1-ext
- Instans Azure Stack Hub B = Alamat IP publik f5stack1-ext
Telusuri www.contoso.com dan browser Anda memuat halaman default NGINX.

Membuat grup sinkronisasi DNS

Aktifkan akun akar untuk membangun kepercayaan. Ikuti petunjuk di Mengubah kata sandi akun pemeliharaan sistem (11.x - 15.x). Setelah Anda mengatur kepercayaan (pertukaran sertifikat), nonaktifkan akun akar.
Masuk ke BIG-IP dan buat Grup Sinkronisasi DNS. Untuk petunjuk, lihat Membuat Grup Sinkronisasi DNS BIG-IP.

Catatan

Anda dapat menemukan IP lokal BIP-IP Appliance di Grup Sumber Daya F5-GSLB Anda. Antarmuka Jaringan adalah "f5stack1-ext" dan Anda ingin tersambung ke IP Publik atau Privat (tergantung akses).
Pilih grup sumber daya baru F5-GSLB dan pilih mesin virtual f5stack1, pada bagian Pengaturan pilih Jaringan.

Konfigurasi pasca penginstalan

Setelah Anda menginstal, Anda harus mengonfigurasi NSG Azure Stack Hub Anda dan mengunci alamat IP sumber.

Nonaktifkan port 22 setelah kepercayaan dibuat.
Saat sistem Anda online, blokir NSG sumber. NSG manajemen harus dikunci ke sumber manajemen, NSG Eksternal (4353/TCP) harus dikunci ke instans lain untuk sinkronisasi. 443 juga harus dikunci hingga aplikasi dengan Server Virtual disebarkan.
Aturan GTM_DNS diatur untuk mengizinkan lalu lintas port 53 (DNS), dan penyelesai BIG-IP akan mulai bekerja sekali. Pendengar dibuat.
Sebarkan beban kerja aplikasi web dasar dalam lingkungan Azure Stack Hub Anda ke Load Balance di belakang BIG-IP. Anda dapat menemukan contoh penggunaan server NGINX di Menyebarkan NGINX dan NGINX Plus di Docker.

Catatan

Sebarkan instans NGINX di Azure Stack Hub A dan Azure Stack Hub B.
Setelah NGINX disebarkan dalam kontainer docker pada Ubuntu VM dalam setiap instans Azure Stack Hub, validasikan bahwa Anda dapat mencapai halaman web default di server.
Masuk ke antarmuka manajemen alat BIG-IP. Dalam contoh ini, gunakan alamat IP Publik f5-stack1-ext.
Publikasikan akses ke NGINX melalui BIG-IP.
- Dalam tugas ini, Anda akan mengonfigurasi BIG-IP dengan Kumpulan dan Server Virtual untuk memungkinkan akses internet masuk ke aplikasi WordPress. Pertama, Anda perlu mengidentifikasi alamat IP privat untuk instans NGINX.
Masuk ke portal pengguna Azure Stack Hub.
Pilih Antarmuka Jaringan NGINX Anda.
Dari konsol BIG-IP, buka Lalu lintas lokal > Kumpulan > Daftar Kumpulan dan Pilih +. Konfigurasikan kumpulan menggunakan nilai dalam tabel. Biarkan semua bidang lainnya tetap default.

Kunci Nilai

Nama NGINX_Pool

Pemantau Kesehatan HTTPS

simpul_name NGINX

Alamat <alamat IP privat NGINX Anda>

Port Layanan 443
Pilih Selesai. Saat dikonfigurasi dengan benar, status kumpulan berwarna hijau.

Anda sekarang perlu mengonfigurasi server virtual. Untuk melakukan ini, pertama-tama Anda harus menemukan IP privat F5 BIG-IP Anda.
Dari konsol BIG-IP, buka Jaringan > IP Mandiri dan catat alamat IP.
Buat server virtual dengan membuka Lalu Lintas Lokal>Server Virtual>Daftar Server Virtual dan Pilih +. Konfigurasikan kumpulan menggunakan nilai dalam tabel. Biarkan semua bidang lainnya tetap default.

Kunci Nilai

Nama NGINX

Alamat Tujuan <Alamat IP mandiri BIG-IP>

Port Layanan 443

Profil SSL (Klien) clientssl

Terjemahan Alamat Sumber Peta Otomatis
Anda sekarang telah menyelesaikan konfigurasi BIG-IP untuk aplikasi NGINX. Untuk memverifikasi fungsionalitas yang tepat, jelajahi situs dan verifikasi statistik F5.
Buka peramban untuk https://<F5-public-VIP-IP> dan pastikan browser menampilkan halaman default NGINX Anda.
Sekarang periksa statistik server virtual Anda untuk memverifikasi arus lalu lintas, dengan membuka Statistik > Statistik Modul > Lalu Lintas Lokal.
Pada bagian Jenis Statistik, pilih Server Virtual.